Услуги

Оценка соответствию 382п

Национальная платежная система является одним из ключевых компонентов финансовой инфраструктуры экономики России, посредством которого формируется общий денежный спрос в экономике, поддерживается общественное доверие к национальной валюте как средству платежа,  а также обеспечивается реализация денежно-кредитной политики. Поэтому в целях повышения уровня информационной безопасности  национальной платежной системе банковской системы Российской Федерации 27.06.2011 года был принят Федеральный Закон № 161-ФЗ «О национальной платежной системе».
На текущий момент вступили в силу:
•    Статья 27 «Обеспечение защиты информации в платежной системе» Федерального закона от 27 июня 2011 года N 161-ФЗ «О Национальной платежной системе»
•    Положение о защите информации в платежной системе, утвержденное постановлением Правительства Российской Федерации от 13 июня 2012 г. N 584
•    Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
•    Указание Банка России от 09 июня 2012 года N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»
•    Положение Банка России от 31 мая 2012 года N 380-П «О порядке осуществления наблюдения в национальной платежной системе»
•    Положение Банка России от 31 мая 2012 года N 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах»
Положение Банка России от 9 июня 2012 года N 382-П регламентирует проведения оценки выполнения требований к защите информации, а также  сдержит подробную детализацию комплекса мер по защите информации при переводе денежных средств ко всем субъектам Национальной платежной системы.
Проведение оценки соответствия по требованиям 382-П
Предварительная оценка проводится для проверки соответствия подсистемы безопасности Заказчика ключевым требованиям, указанным в Приложении 2 Положения 382-П.
Первоначально производится удаленный сбор и консолидация всей необходимой информации об ИС Заказчика, которая используется для выполнения оценки соответствия. Работы на данном этапе выполняются в следующей последовательности:
•    определение и передача Заказчику списка необходимых для анализа документов;
•    анализ документации, полученной от Заказчика;
•    проведение очной оценки соответствия ИС Заказчика требованиям 382-П.
Оценка будет включать анализ 15 групповых требований и всех частных требований из Приложения 2 Положения 382-П. При этом обобщенная оценка выполнения субъектом платежной системы требований к обеспечению защиты информации при осуществлении переводов денежных средств может принимать следующие значения:
•    хорошая;
•    удовлетворительная;
•    сомнительная;
•    неудовлетворительная.
В результате проведения оценки будут выявлены все частные требования, выполнение которых на текущий момент не реализовано в ИС банка.
В ходе очной оценки проводится опросы ответственных сотрудников Исполнителя, анализа конфигурационных файлов и демонстрации сотрудниками выполняемых ими процедур по обеспечению информационной безопасности.
Разработка отчета о проведении аудита осуществляется Исполнителем на основе собранных свидетельств аудита и в соответствии с требованиями Положения Банка России №382-П.
Результатом работ на данном этапе является отчет, содержащий оценку критериев аудита и собранные доказательства, а также рекомендации по привидению в соответствие требованиям Положения 382-П.
Рекомендации могут включать в себя:
•    рекомендации по доработке\изменению существующих процессов;
•    рекомендации по доработке\изменению нормативной базы;
•    описание необходимых настроек на оборудовании;
•    описание схем возможных изменений в инфраструктуре Банка.
На основе рекомендаций разрабатывается План реализации организационных и технических мероприятий, выполнение которых позволит обеспечить выполнение всех требований Стандарта.
Разработка и внедрение недостающей нормативной документации
На данном этапе проводятся работы по доработке нормативной документации в соответствии требованиями 382-П. Все защитные меры, указанные в Положении 382-П можно условно разделить на организационные и технические, при этом следует отметить, что большая часть указанных требований может быть удовлетворена именно на организационном уровне.
Таким образом, на данном этапе предполагается разработка организационной документации, разработанной в соответствии с требованиями 382-П, включающей в себя различные должностные положения, регламенты и процедуры, целесообразность которых определяется по результатам работ предыдущих этапов.
В состав документов могут войти (но не ограничиваются):
1)    Правила платежной системы;
2)    Порядок предоставления отчетности по инцидентам ИБ в ПС;
3)    Инструкции администраторов по работе в ПС;
4)    Политика и\или процедура антивирусной защиты
5)    Политика и\или процедура анализа защищенности
6)    Политика и программа повышения осведомленности персонала в вопросах ИБ
7)    Стандарт межсетевого экранирования
8)    Процедура контроля и регистрации действий лиц при доступе к защищаемой информации, привилегированных пользователей
9)    Порядок и процедура восстановления функционирования технических средств защиты информации, используемых при осуществлении переводов денежных средств, в случаях сбоев и (или) отказов в их работе, распределение ответственности
10)    Регламент резервного копирования  
11)    Процедура учета объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации
12)    Процедура идентификации, аутентификации и авторизации – пункт
13)    Процедура регистрации:
•    действий клиентов, выполняемых с использованием программного обеспечения и автоматизированных систем;
•    действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах и программном обеспечении;
•    действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов
14)    Процедура доступа в здания, где размещены защищаемые объекты
15)    Перечень типового ПО, разрешенного к установке
16)    Порядок обеспечения защиты информации при осуществлении переводов денежных средств
17)    Положение о распределении доступа пользователей
18)    Должностная инструкция сотрудника Управления ИБ
19)    Положение о доступе к информационным ресурсам сети Internet
20)    Инструкции по обращению со средствами криптографической защиты информации и криптоключами
Точный состав определяется после проведения оценки соответствия требованиям положения 382-П.
Перечень планируемых по результатам работ документов
По окончанию проведения работ Банку передается следующая отчетная документация:
1)    Отчет, содержащий оценку соответствия платежной системы Банка требованиям 382-П.
2)    Рекомендации по приведению в соответствие требованиям 382-П
3)    План приведения в соответствие требованиям 382-П
4)    Комплект документов, разработанный для приведения в соответствие требованиям 382-П

Заполните форму, чтобы заказать один из наших продуктов,
и наши специалисты свяждутся с вами